Страница 1 из 1
Уязвимость в Rust-библиотеках для формата TAR, приводящая к распаковке файлов из вложенного архива
Добавлено: 22 окт 2025, 02:30
[Ботя]
В написанной на языке Rust библиотеке async-tar, предоставляющей функции для чтения и записи tar-архивов, выявлена уязвимость (CVE-2025-62518, кодовое имя TARmageddon), позволяющая при распаковке специально оформленного tar-архива не только извлечь размещённые в нём файлы, но и файлы, содержащиеся во вложенном tar-архиве. Уязвимость может быть использована для обхода систем верификации архивов и распаковки файлов, для которых не выполнялась проверка.
Подробнее...